Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W sterowniku hvc_iucv jądra Linux wykryto podatność polegającą na błędzie off-by-one w liczbie obsługiwanych urządzeń. Gdy licznik hvc_iucv_devices osiągnie wartość 8, kod może odwołać się do elementu tablicy hvc_iucv_table[8], który znajduje się poza jej zakresem (tablica ma 8 elementów indeksowanych od 0 do 7).
W jądrze Linuxa wykryto błąd w sterowniku USB Type-C PS883X, który powoduje wywołanie błędu Oops podczas odłączania urządzenia. Problem wynika z braku ustawienia danych klienta I2C w funkcji probe, co prowadzi do dereferencji pustego wskaźnika w funkcji remove.
W jądrze Linux wykryto podatność w sterowniku SCSI sg, która pozwala na wywołanie miękkiego zawieszenia systemu (soft lockup) poprzez ustawienie ujemnej wartości parametru def_reserved_size za pomocą sysfs. Problem wynika z braku walidacji wartości tego parametru przy bezpośredniej modyfikacji przez /sys/module/sg/parameters/def_reserved_size.
W jądrze Linuxa w sterowniku kryptograficznym EIP93 wykryto błąd w funkcji eip93_hmac_setkey(), która przy alokacji tymczasowego transformatu ahash używała maski CRYPTO_ALG_ASYNC, wykluczającej algorytmy asynchroniczne. Ponieważ algorytmy EIP93 są z natury asynchroniczne, wyszukiwanie zawsze kończyło się niepowodzeniem, pozostawiając niezainicjalizowane pola digestu, co prowadziło do dereferencji wskaźnika NULL i paniki jądra.
W jądrze Linuxa wykryto podatność w sterowniku resetowania dla układów Amlogic T7. Brak operacji resetowania (reset ops) powoduje dereferencję pustego wskaźnika w jądrze, co może prowadzić do awarii systemu. Na tę chwilę reset w tym SoC nie jest jeszcze używany.
OpenProject przed wersjami 17.3.3 i 17.4.1 zawiera podatność polegającą na nieograniczonym atrybucie data-* w znacznikach <macro> w sanitizerze HTML. Atakujący może wstrzyknąć atrybut data-controller="poll-for-changes" do opisu pakietu roboczego, co powoduje zamontowanie kontrolera Stimulus.js, który pobiera załącznik przesłany przez atakującego i przekazuje go do renderStreamMessage(), wykonując dowolne akcje Turbo Stream, w tym przekierowanie do zewnętrznego serwera.
W OpenProject przed wersjami 17.3.3 i 17.4.1 wykryto podatność IDOR (Insecure Direct Object Reference) w modułach Kalendarz i Planista Zespołu. Użytkownik z uprawnieniami zarządzania w jednym projekcie może usunąć publiczne zapytania tych modułów z innego projektu, do którego nie ma odpowiednich uprawnień.
Podatność w OpenProject przed wersją 17.4.0 umożliwia ujawnienie danych prywatnych pakietów roboczych z powiązanego pakietu należącego do niedostępnego projektu poprzez żądanie GET do punktu końcowego API.
Podatność w OpenProject przed wersją 17.4.0 umożliwia uwierzytelnionemu użytkownikowi odczytanie relacji oraz tytułów pakietów roboczych, do których nie ma uprawnień, poprzez endpoint GET /api/v3/relations. Problem wynika z błędnej optymalizacji wydajności w RelationQuery, która omija zakres widoczności Relation.visible.
W OpenProject przed wersjami 17.3.2 i 17.4.0, endpoint GET /api/v3/shares ujawnia szczegóły udostępnień dla wszystkich pakietów roboczych w projekcie każdemu użytkownikowi z uprawnieniem view_shared_work_packages. Autoryzacja działa tylko na poziomie projektu, nie weryfikując, czy żądający może faktycznie wyświetlić każdy indywidualny pakiet roboczy.
W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto brak autoryzacji w kontrolerze CostReportsController. Uwierzytelniony atakujący może zmienić nazwę, filtry i grupowanie dowolnego publicznego raportu kosztów, znając jego numeryczne ID, bez konieczności posiadania uprawnień właściciela.
W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto błąd logiki biznesowej w mechanizmie zmiany hasła. Poprzez żądanie PATCH do /api/v3/users/me możliwe jest ominięcie wymogów dotyczących siły hasła, co pozwala atakującemu na zmianę hasła użytkownika po przejęciu sesji.
OpenProject przed wersjami 17.3.2 i 17.4.0 zawiera podatność w punkcie końcowym aktualizacji dokumentów. Atrybuty kontrolowane przez atakującego są stosowane przed autoryzacją, co pozwala użytkownikowi bez uprawnień :manage_documents na przenoszenie i modyfikowanie dokumentów z innych projektów.
W OpenProject przed wersjami 17.3.2 i 17.4.0 funkcja filtrowania spotkań ujawnia, czy dane ID użytkownika należy do istniejącego konta, oraz wyświetla jego pełną nazwę. Pozwala to atakującemu na enumerację wszystkich kont poprzez sekwencyjne sprawdzanie ID i obserwację różnic w odpowiedziach serwera.
OpenProject przed wersją 17.4.0 używa konfiguracji Sanitize::Config::RELAXED[:css] do oczyszczania stylów inline w renderowaniu Markdown. Pozwala to uwierzytelnionym użytkownikom z prawem zapisu na wstrzykiwanie dowolnych właściwości CSS w polach tekstowych (np. opisy zadań, komentarze).
Podatność w bibliotece Patool przed wersją 4.0.5 umożliwia przejście do dowolnego katalogu (path traversal) w funkcji safe_extract() w pliku patoolib/programs/py_tarfile.py, gdy działa na Pythonie przed wersją 3.12. Problem wynika z użycia os.path.commonprefix() do porównywania ścieżek na poziomie znaków zamiast na poziomie katalogów, co pozwala ominąć sprawdzenie containment check. Atakujący może dostarczyć złośliwe archiwum ze specjalnie spreparowanymi ścieżkami członków archiwum, aby zapisać dowolne pliki.
Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.
W Envoy od wersji 1.37.0 do 1.37.5 oraz 1.38.3 filtr HTTP OAuth2 może pozostawić oczekujące żądanie wymiany tokena po zamknięciu strumienia downstream. Opóźniona odpowiedź AsyncClient może wywołać metody OAuth2Filter na już usuniętym obiekcie, prowadząc do niezdefiniowanego zachowania, awarii procesu roboczego (utrata dostępności) oraz błędów use-after-free/invalid-vptr wykrywanych przez AddressSanitizer. Jest to problem bezpieczeństwa pamięci w płaszczyźnie danych, a nie błąd konfiguracji.
W Envoy od wersji 1.36.0 do 1.36.9, 1.37.5 i 1.38.3 występuje podatność Use-After-Free (UAF) w filtrze HTTP ext_authz. Problem pojawia się przy równoczesnym przetwarzaniu nadpisań autoryzacji na trasie i szybkim rozłączaniu klientów, co prowadzi do błędu segmentacji i awarii procesu.
Narzędzie mise (wersje od 2026.3.15 do 2026.6.4) ładuje konfigurację github.credential_command z lokalnego pliku projektu przed podjęciem decyzji o zaufaniu, a następnie wykonuje tę wartość za pomocą sh -c podczas rozwiązywania tokena GitHub. Osoba atakująca, która umieści plik .mise.toml w repozytorium, może wykonać dowolne polecenia powłoki, gdy ofiara uruchomi polecenie mise związane z GitHub i nie zostanie ustawiona zmienna środowiskowa tokena GitHub o wyższym priorytecie.

